In data 23-24 Settembre 2014 è uscito un bug sulla gnu/bash tale per cui un attaccante può sfruttare il modo con cui sono gestite le variabili d'ambiente, inoculando codice arbitrario.
Per verificare se il server in questione è vulnerabile si può utilizzare il seguente comando:
denali@localhost$: env x=’() { :;}; echo Vulnerable’ bash -c “echo This is a test”
Se l'esito di questo comando è vulnerable si è vulnerabili, mentre se la risposta è:
bash: warning: x: ignoring function definition attempt bash: error importing function definition for `x'
o simili, allora non c'e' problema, il server non è affetto dalla problematica. Se il server è colpito, per risolvere, è necessario aggiornare la bash alla versione 4.2 (lo si fa da yum o ad apt).
Centos e Debian, sono già state aggiornate. Mentre vecchie versioni di Fedora (⇐13) non è uscita ancora la patch.
Ad ogni modo da un punto di vista pratico questo baco è difficilmente utilizzabile, poichè suppone che l'utente abbia accesso ad una shell oppure uno script cgi in bash, pubblicamente accessibile via web.